全球域名注册平台,seo整合营销,四川建设招标网站首页,做网站图片尺寸先看看webpack中文网给出的解释 webpack 是一个模块打包器。它的主要目标是将 JavaScript 文件打包在一起,打包后的文件用于在浏览器中使用,但它也能够胜任转换、打包或包裹任何资源。 如果未正确配置#xff0c;会生成一个.map文件#xff0c;它包含了原始JavaScript代码的映…先看看webpack中文网给出的解释 webpack 是一个模块打包器。它的主要目标是将 JavaScript 文件打包在一起,打包后的文件用于在浏览器中使用,但它也能够胜任转换、打包或包裹任何资源。 如果未正确配置会生成一个.map文件它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码从而可能导致敏感信息的泄露等风险 那么就是说存在webpack信息泄露问题的网站目录中存在.map文件该文件内包含了所有的js文件 本身还是要从js文件中提取到敏感信息(用户名密码接口等)所以这里提供两种利用方式
利用方式
利用方式一
findsomething 此工具主要是从网站的js中提取敏感信息安装对应浏览器插件即可。
利用方式二
Packer Fuzzer 该工具会自动检测网站是否存在webpack信息泄露问题并且自动提取对应目标站点的API以及API对应的参数内容
这里不介绍安装方式按照文档操作即可可能会出现下面问题不影响运行忽略即可
那么说一下利用过程遇到一个网站这里以webpack中文网(https://www.webpackjs.com/)为例 首先使用wappalyzer发现该网站使用了webpack模块 使用Packer-Fuzzer进行检测利用 在reports目录下查看对应文件名的html文档(目标url随机数命名)存在一个中危但是是误报 使用findsomething,发现了很多路径直接复制路径
然后使用burpsuite的intruder模块进行发送即可记得关闭下方的payload ending即可然后在根据页面返回状态码以及返回数据包的大小不同进行判定
